Monitorování: Přísnost musí být?

Monitorování dat a síťových aktivit vašich zaměstnanců již není technický problém. V první řadě je ale zapotřebí zodpovědět některé zásadní etické otázky. Většina organizací má, pokud jde o elektronické soukromí svých zaměstnanců, dosti přímočarou politiku. Žádné neexistuje. Podmínkou pro přijetí je souhlas zaměstnance s tím, že jeho internetová komunikace může být monitorována, počítače prohledávány a telefonické hovory mohou být monitorovány nebo nahrávány. Řada organizací jde ještě dál, což zahrnuje hlídací kamery, biometrické píchačky, dokonce špicly (pojem „mystery shoppers“ asi budete znát), s jejichž pomocí sledují chování a výkony svých zaměstnanců.

Pokud ale provozujete ve své organizaci monitoring, ujistěte se, že na vaší straně je víc než jen zákon. Pokud neshromažďujete a nevyužíváte takto získané soukromé informace způsobem, který je etický a přiměřený, mohou odhalení o vašem chybně koncipovaném nebo špatně zavedeném monitoringu poškodit nejen morálku zaměstnanců, ale i pověst vaší organizace.

Můžete se samozřejmě pokusit udržet podrobnosti o monitorovacím programu v tajnosti. Realizovat utajený program je ale neskutečně obtížné. Pokud je tajemstvím již pouhá existence programu, budete muset omezit využívání informací, které vznikají na jeho základě – jinak mohou jednotlivci, kterých se to týká, přijít na to, že takovýto program existuje, na základě jeho efektu. A protože prakticky všichni nakonec jednou promluví, tajné sledovací programy málokdy zůstanou tajnými dlouho – jen se podívejte, jaké potíže s tím má Národní bezpečnostní agentura nebo CIA. Pokud se pustíte do jakéhokoliv monitorování svých zaměstnanců nebo zákazníků, měli byste předpokládat, že dotyční se dříve či později podrobnosti o programu dozvědí. Dá se říct, že je poměrně velká pravděpodobnost, že se někdo z vašich vlastních lidí dostane dokonce i k samotným shromažďovaným datům – ať už se budou týkat jich samotných nebo jejich spolupracovníků.

Elektronické komunikační systémy vytvářejí množství příležitostí ke sbírání informací o zaměstnancích, a obrovská kapacita dnešních ukládacích systémů umožňuje jejich uchovávání po prakticky neomezenou dobu. Dnes už je triviální naprogramovat síťové nástroje k tomu, aby zaznamenávaly elektronickou poštu vašich zaměstnanců, to, co vyhledávají na internetu nebo jejich účast v diskusích. Řada systémů zaznamenává podobné věci automaticky: bylo by třeba tyto systémy naopak explicitně nakonfigurovat tak, aby tyto informace nezaznamenávaly, pokud by si to vaše organizace přála.

A jeden dobrý důvod, proč byste se mohli chtít raději vyhnout zaznamenávání podrobných informací o svých zaměstnancích, skutečně existuje: jakmile jsou tyto informace jednou uloženy, mohou být použity proti vaší organizaci v civilním i trestněprávním vyšetřování. Může se pak stát, že budete muset strpět to ponížení a na vlastní náklady pomáhat svému protivníkovi v soudní při, který bude prohledávat vaše vlastní informace a pátrat po těch detailech, které vás nejvíce poškodí.

Nicméně mnoho firem shromažďuje stále více informací. I když některé z těchto aktivit jsou dány nejlepšími zkušenostmi či požadavky vyplývajícími ze zákona, jiné informace jsou uchovávány jen pro ten hlodající pocit, že se jednou mohou hodit.

Pod dohledem

Podle průzkumu nazvaného Electronic Monitoring & Surveillance 2005, který provedla American Management Association, monitoruje 76 procent amerických zaměstnavatelů webové stránky, které navštěvují jejich zaměstnanci. 55 procent jich uchovává a periodicky prověřuje elektronickou poštu svých zaměstnanců a 36 procent monitoruje dokonce přímo to, co jejich zaměstnanci píší, nebo čas, který stráví u klávesnice. Znepokojivé je, že asi 20 procent z 526 firem, které se průzkumu zúčastnily, neinformuje své zaměstnance o tom, že jsou monitorováni – což je v jurisdikci mnoha států v rozporu se zákonem.

American Management Association provedla podobný průzkum v roce 2001. Porovnání dat z obou let jasně ukazuje, nakolik se podrobné shromažďování dat za tu dobu rozšířilo. Například v roce 2001 jen 33 procent respondentů používalo videokamery „s cílem bojovat proti krádežím, násilí a sabotážím“. V roce 2005 toto číslo vzrostlo na 51 procent. Počet firem, které nahrávají telefonické hovory svých zaměstnanců, vzrostl za stejné období z 9 procent na 19. Průzkum z roku 2005 také zjistil, že 5 procent zaměstnavatelů používá GPS ke sledování pohybu svých zaměstnanců prostřednictvím jejich mobilních telefonů a 8 procent používá GPS ke sledování firemních automobilů.

Tento druh průzkumu bohužel nerozlišuje mezi různými druhy dohledu a zásahů do soukromí, které mohou zaměstnanci pociťovat. Jen málokdo by asi namítal něco proti kamerám instalovaným v bance nebo kasinu, v těchto prostředích dohled chrání firmu, zaměstnance i zákazníky. ?plně jiný pocit ale lidé zřejmě budou mít ve vztahu ke kamerám instalovaným v šatnách.

Profesor Gary Marx z MIT, autor četných knih o dohledu či sledování ze strany vlád a firem, v roce 1998 publikoval článek pod názvem An Ethics for the New Surveillance, ve kterém argumentuje, že etický rozměr toho kterého aktu sledování závisí na použitých prostředcích, na kontextu, v jakém jsou data shromažďována, a na účelech, pro něž informace nakonec budou použity. Jak názorně dokazuje zmíněný příklad kamerového dohledu, stejná technologie, která je naprosto v pořádku v jednom kontextu, může být zcela nevhodná v jiném.

Vysvětlujte, co děláte

Aby sledování bylo etické, argumentuje Marx, jeho důvod by měl být jednak legitimní, jednak musí být veřejně oznámen. Takže jeden typ sledování, například testování na drogy, může být vhodný u řidičů školních autobusů, ale nevhodný pro středoškolské studenty, kteří hrají ve školní kapele. Prostředky by měly odpovídat cíli. Měla by existovat důvodná možnost, že sledování odhalí závadné chování nebo mu zabrání.

A musí být zavedena opatření, aby informace shromážděné pro jeden účel nemohly být použity pro účely jiné.

Pokud bude podáno vhodné vysvětlení, řada zaměstnanců bude možná ochotna akceptovat i poměrně zásadní zásahy do soukromí. Titíž zaměstnanci ale budou mít pocit, že jejich důvěra byla zneužita, pokud takto vzniklé informace nebudou dostatečně chráněny, nebo pokud budou požity pro účely značně odlehlé od původního záměru. Například zaměstnanci mohou pochopit a souhlasit s tím, že jejich e-mail bude monitorován, aby se zabránilo vynášení vnitropodnikových informací mimo firmu. Ale budou zcela jistě mít námitky v okamžiku, kdy bezpečnostní pracovník jejich firmy začne studovat jejich poštovní schránky, aby zjistil, která z kolegyň má volno v sobotu večer a dala by se třeba přemluvit ke schůzce.

Spravedlivý přístup je další věc, píše dále Marx. Týká se dohled všech lidí v organizaci stejnou měrou, nebo se vztahuje jen na ty, kteří stojí níže na mocenském žebříčku a nemohou se bránit? Mají lidé, kteří jsou takto sledováni, právo podívat se na nezpracovaná data a ujistit se o jejich přesnosti? Prověřují strojově generované zprávy nějací lidé, než se na jejich základě přistupuje k nějakým krokům? Mají lidé, kteří by byli postiženi negativními důsledky, právo se proti rozhodnutí odvolat?

Přísnost musí být?

Organizace, které provádějí monitoring, musejí mít přísné vnitřní kontroly, které se týkají jak ukládání, tak použití výsledných dat. Zvláštní pozornost musí být věnována jakékoliv navržené aktivitě, v jejímž důsledku by se mohly shromážděné informace ocitnout mimo vlastní organizaci. Důvodem je princip „vrat od stodoly“. Jakmile je informace venku, bývá už často nemožné ji vzít zpět.

Například v srpnu 2006 America Online rozšířila na internetu 20 millionů webových vyhledávacích dotazů (search queries) od asi 650 000 uživatelů. Firma tyto informace uvolnila v naději, že bude stimulovat vědecký výzkum v oblasti vyhledávání. Podle listu The New York Times byly jediné další soubory dat, které výzkumníci měli k dispozici ke studiu toho, co lidé vyhledávají, staré 10 let. Ačkoliv pracovníci AOL nahradili identifikátory lidí, kteří tato vyhledávání prováděli, numerickými pseudonymy, aby bylo chráněno jejich soukromí, nestačilo to. Řadu lidí, jak se ukázalo, lze identifikovat již na základě termínů, které zapíší do vyhledávačů. A jakmile jsou jednou identifikováni, není těžké se dozvědět řadu dalších věcí o jejich zájmech, ať již jsou legální, morální, nemorální nebo třeba ne zcela legální.

Ačkoliv AOL vzápětí došlo, co udělala, bylo pozdě. Mnozí si mezitím již data stáhli a udělali si vlastní kopie. I když AOL data uklidila, jiní hned dodali kopie. Tento incident ukázal, co mnozí aktivisté bojující za ochranu dat v posledních letech tvrdili. Už tím, že se monitoruje, co kdo vyhledává, firmy jako AOL a Google shromažďují neuvěřitelné množství dat o svých uživatelích.
Zaměstnanci AOL zřejmě neměli pocit, že se vlastně jedná o sledování klientů. Ale to, co AOL a další společnosti provozující vyhledávače dělají, není nic jiného. A protože tyto informace jsou tak mimořádně citlivé, firmy by si je snad raději neměly uchovávat v počítačích na věčné časy.

Takže pokud vaše organizace někoho monitoruje, ujistěte se, že je tam také někdo další, kdo hlídá hlídače. Využití získaných dat by mělo být vhodně zabezpečeno. Zabraňte tomu, aby se v průběhu monitorování měnil účel, ke kterému získaná data mají sloužit (tzv. mission creep), v důsledku čehož by se praxe, která je ještě přijatelná, mohla změnit v jinou, která je rozhodně zavrženíhodná. A informujte svého pracovníka, který má na starosti ochranu dat, o monitorovací politice vaší organizace.

Foto: Wikipedia, licence obrázku GFDL